- Published on
GitHub匿名用户一次性公开20多个未修复0-day漏洞,安全社区炸锅
- Authors
- Name
- binyu
- github.com
事件概述
2026年6月下旬,GitHub匿名用户“bikini”创建仓库“exploitarium”,一次性上传超过20个未公开0-day漏洞的PoC(概念验证代码)。仓库迅速获得3700星和1100次Fork,在安全社区引发震动。作者在README中声称,这些漏洞在发布时均未向厂商报告,并鼓励他人自行申请CVE,同时强调此举是为了吸引更多人进入安全领域。
仓库内容概览
仓库包含多个独立文件夹,每个对应一个漏洞的PoC,覆盖软件范围广泛。这些漏洞具体包括:
- 7zip:RAR5 MotW链式利用
- AnyDesk:打印机COM模拟
- c-ares:TCP UAF计算器PoC
- Docker:cp命令逃逸
- FFmpeg:RASC DLTA计算器PoC
- Firefox:SmartWindow私有URL泄露
- Floci API Gateway:VTL RCE
- Flowise MCP:环境变量大小写绕过
- Ghidra 12.1.2:RCE/ACE
- Gitea:Act Runner容器选项
- ImageMagick:Ghostscript委托劫持
- libssh2:CVE-2026-55200及公钥列表UAF
- Lunar Client:Modrinth链式利用
- MyBB:受限ACP提权至管理员
- nghttp2:nghttpx升级队列投毒
- Nmap:IPv6扩展长度整数回绕
- objdump:DLX计算器PoC
- OpenVPN Connect:Echo脚本ACE
- PHP 8.5.7:StreamBucket SOAP RCE
- RustDesk:会话权限绕过
- SystemInformer:phsvc可信主机LPE
- VLC:VP9分辨率变化崩溃
每个文件夹包含完整PoC代码和README说明。作者指出部分漏洞(如Ghidra)质量一般,而Floci、libssh2、FFmpeg、c-ares等属于严重漏洞。
作者背景与动机
README中作者透露自己并非“烧token的小孩”,而是拥有相关学位并发表过多篇fuzzing方法论文。他使用GPT-5.5-3-Codex-Spark进行所有fuzzing工作,但强调AI只是辅助,PoC代码由手动编写(RustDesk部分使用AI辅助)。作者称花费多年研究fuzzing工具和方法,认为人类监督和高效测试框架比先进模型更重要。README文件完全由AI生成,因为AI能写出漂亮的Markdown。
漏洞披露伦理争议
该仓库的发布方式引发激烈讨论。传统漏洞披露遵循“负责任披露”原则:先通知厂商,给予修复时间,再公开细节。而作者选择一次性公开所有未报告漏洞,并鼓励他人自行申请CVE,相当于将利用代码直接交予公众。
支持者认为,这种“全公开”方式能倒逼厂商重视安全,同时为安全研究者提供学习素材。反对者担忧,恶意行为者可能利用PoC发动攻击,尤其是针对尚未修复的0-day。作者虽在README中警告“不得恶意使用”,但缺乏法律约束力。
技术细节与影响
仓库中包含多个严重漏洞的详细代码:
- libssh2 CVE-2026-55200:作者直接给出CVE编号,可能已分配。libssh2广泛用于Linux发行版和嵌入式设备。
- Docker cp逃逸:利用
docker cp目标路径检查缺陷实现容器逃逸,影响多个Docker版本。 - Firefox SmartWindow隐私泄露:通过SmartWindow在隐私浏览模式泄露URL,破坏隐私承诺。
- OpenVPN Connect ACE:利用Echo脚本实现任意代码执行,影响客户端。
这些漏洞覆盖系统工具到开发框架,一旦被恶意利用后果严重。
社区反应与后续
Hacker News上相关讨论获得695分和277条评论。许多安全研究员质疑作者动机,也有人称赞技术能力。部分人指出作者可能已通过其他渠道报告了部分漏洞,但仓库声明“none have been reported”可能不准确。
截至发稿,GitHub尚未对该仓库采取行动。根据GitHub政策,公开PoC本身不违规,若用于攻击或违反DMCA可能被移除。
总结
“exploitarium”仓库是安全社区的一次极端实验:将大量未公开0-day以“学习资源”形式一次性释放。它展示了现代fuzzing技术(尤其是AI辅助)的强大能力,也再次引发关于漏洞披露伦理的深层讨论。对于普通用户,建议关注受影响软件的安全更新并评估自身暴露面。对于安全从业者,这是难得的学习样本,但需在法律和道德框架内使用。
原标题:Anonymous GitHub account mass-dropping undisclosed 0-days。 HN 原始发布时间:2026年6月27日星期六。当前记录为 695 分、277 条评论。